JP2009104509A - Terminal authentication system and terminal authentication method - Google Patents
Terminal authentication system and terminal authentication method Download PDFInfo
- Publication number
- JP2009104509A JP2009104509A JP2007277242A JP2007277242A JP2009104509A JP 2009104509 A JP2009104509 A JP 2009104509A JP 2007277242 A JP2007277242 A JP 2007277242A JP 2007277242 A JP2007277242 A JP 2007277242A JP 2009104509 A JP2009104509 A JP 2009104509A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- authentication
- access point
- authentication server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、端末と、端末をネットワークに接続させるアクセスポイントと、端末の認証を行う認証サーバと、によって少なくとも構成され、アクセスポイントと認証サーバとがネットワークに接続された端末認証システム、およびその端末認証システムにて用いられる端末認証方法に関する。 The present invention includes a terminal authentication system including at least a terminal, an access point for connecting the terminal to the network, and an authentication server for authenticating the terminal, and the access point and the authentication server connected to the network, and the terminal The present invention relates to a terminal authentication method used in an authentication system.
現在、ネットワーク(特にインターネット等)に接続する移動携帯端末などは、商用上、またはセキュリティ上などの理由から、ネットワークに接続する際、何らかの方法で認証を受ける必要がある。例えば、駅構内、または飲食店内などに構築されている無線LAN(Local Area Network)に対して、ノートPC(Personal Computer)が接続を試みる場合などである。この場合、ノートPCは、その無線LANのアクセスポイント、またはアクセスポイントが認証を依頼する認証サーバから認証を受けることになる。 Currently, a mobile portable terminal connected to a network (particularly the Internet or the like) needs to be authenticated by some method when connected to the network for commercial or security reasons. For example, there is a case where a notebook PC (Personal Computer) tries to connect to a wireless LAN (Local Area Network) built in a station or a restaurant. In this case, the notebook PC receives authentication from the wireless LAN access point or an authentication server to which the access point requests authentication.
また、現在、あらゆるデバイスをネットワークに接続し、様々な新しいサービスを提供するセンサネットワークが注目されている。センサネットワークにおいても、デバイスは、ネットワークに接続する際、ノートPCと同様に、何らかの方法で認証を受ける必要がある。 At present, sensor networks that connect various devices to a network and provide various new services are attracting attention. Also in the sensor network, when connecting to the network, the device needs to be authenticated by some method, like the notebook PC.
以下では、「端末」とは、ノートPC等の移動携帯端末、およびセンサネットワークに用いられるデバイス等を含むものとする。また、「端末がネットワークに接続される」とは、端末が、ネットワークを介して、他の装置と情報の送受信を行うことができる状態になることを意味するものとする。 Hereinafter, the “terminal” includes a mobile portable terminal such as a notebook PC and a device used for a sensor network. Further, “the terminal is connected to the network” means that the terminal is in a state where information can be transmitted / received to / from other apparatuses via the network.
ところで、このような端末を認証する手段として、公開鍵基盤(PKI:Public Key Infrastructure)認証(以下、「PKI認証」という。)と、事前共有秘密鍵(PSK:Pre−Shared Secret Key)認証(以下、「PSK認証」という。)などが知られている。 By the way, as means for authenticating such a terminal, public key infrastructure (PKI: Public Key Infrastructure) authentication (hereinafter referred to as “PKI authentication”) and pre-shared secret key (PSK: Pre-Shared Secret Key) authentication ( Hereinafter, it is referred to as “PSK authentication”).
PKI認証は、利用者の身元について信頼できる第三者が審査を行い、認証を実現する仕組みである。公開鍵証明書(通常は、第三者である認証局が作成する。)に記載された利用者の公開鍵を使用して、利用者が相互に相手を正当であると認めることができ、その後に利用者同士が直接、通信文を暗号化・復号化することができる。この仕組みでは、通信を行う利用者同士が事前に何らかの秘密情報をやり取りする必要はないが、公的な身分証明書を提示して認証局に登録を行うなど準備に手間がかかる。また、PKI認証によって用いられる公開鍵暗号は、認証の際の暗号処理が複雑であり、端末が行う計算量が多い。 PKI authentication is a mechanism in which authentication is performed by a third party who can trust the identity of the user. Using the user's public key listed in a public key certificate (usually created by a third-party certificate authority), users can mutually recognize each other as legitimate, Thereafter, the users can directly encrypt and decrypt the communication text. With this mechanism, it is not necessary for users who communicate with each other to exchange some secret information in advance, but it takes time to prepare such as presenting an official ID and registering with a certificate authority. In addition, public key cryptography used for PKI authentication involves complicated encryption processing at the time of authentication and a large amount of calculation performed by the terminal.
一方、PSK認証は、通信を行う利用者同士が事前にパスワード等の秘密情報を共有し、認証を実現する仕組みである。PSK認証は、PKI認証に比べて、簡便、かつ端末が行う計算量も少ないため、ダイヤルアップ接続、家庭用無線LAN等で広く用いられている。PSK認証の仕組みを採用した従来技術としては、例えば、無線LANにおける認証方法を提案する特許文献1などがある。
しかしながら、特許文献1に開示された技術も含めて、従来技術におけるPSK認証は、端末と、アクセスポイント(または認証サーバ)との間において、アクセスポイント(または認証サーバ)ごとに事前に秘密情報を共有する必要があることから、接続するアクセスポイントを頻繁に変更する場合、その都度、端末の設定を変更する必要がある。また、アクセスポイント(または認証サーバ)ごとに事前に秘密情報を共有すること自体が、利用者にとっては大きな負荷となる。 However, PSK authentication in the prior art including the technology disclosed in Patent Document 1 is a method in which secret information is previously stored for each access point (or authentication server) between the terminal and the access point (or authentication server). Since it is necessary to share, when the access point to be connected is frequently changed, it is necessary to change the setting of the terminal each time. Further, sharing secret information in advance for each access point (or authentication server) itself is a heavy load on the user.
図10は、従来技術におけるPSK認証の一例を示す図である。図10に示す例では、端末105と第1の認証サーバ103a、および端末105と第2の認証サーバ103bが事前に秘密情報を共有しているものとする。以下では、図10を参照しながら、端末105の設定の変更の必要性について説明する。 FIG. 10 is a diagram illustrating an example of PSK authentication in the prior art. In the example illustrated in FIG. 10, it is assumed that the terminal 105 and the first authentication server 103a and the terminal 105 and the second authentication server 103b share secret information in advance. Hereinafter, the necessity of changing the setting of the terminal 105 will be described with reference to FIG.
最初に、端末105は、第1の認証サーバ103aとの間に事前に共有した秘密情報を用いて、認証データを作成する。次に、端末105は、第1の無線LAN110aに係る第1のアクセスポイント107aに認証データを送信する。次に、第1のアクセスポイント107aは、予め定められた第1の認証サーバ103aに認証データを送信する。次に、第1の認証サーバ103aは、端末105と事前に共有している秘密情報を基に、受信した認証データを検証する。そして、認証が成功した場合、端末105はネットワーク9に接続される。
次に、端末105が移動した場合、端末105は、第2の無線LAN110bに係る第2のアクセスポイント107bを介してネットワーク9に接続する為に、第2の認証サーバ103bとの間に事前に共有した秘密情報を用いて、認証データを作成する必要がある。ここで、端末105の設定の変更が必要となる。
First, the terminal 105 creates authentication data using secret information shared in advance with the first authentication server 103a. Next, the terminal 105 transmits authentication data to the first access point 107a related to the first wireless LAN 110a. Next, the first access point 107a transmits authentication data to a predetermined first authentication server 103a. Next, the first authentication server 103a verifies the received authentication data based on secret information shared in advance with the terminal 105. If the authentication is successful, the terminal 105 is connected to the network 9.
Next, when the terminal 105 moves, the terminal 105 connects with the second authentication server 103b in advance in order to connect to the network 9 via the second access point 107b related to the second wireless LAN 110b. It is necessary to create authentication data using the shared secret information. Here, it is necessary to change the setting of the terminal 105.
尚、端末105の設定の変更には、(1)利用者が手動にて、第2の認証サーバ103bとの間に事前に共有した秘密情報を設定する、(2)端末105が予め第2の認証サーバ103bとの間に事前に共有した秘密情報を保持し、自動で適宜変更する、の2通りが考えられる。(1)では、利用者に対する負荷が大きい。(2)では、端末105の設定の変更自体には、利用者に対する負荷はない。しかしながら、第2のアクセスポイント107bが悪意のある者によって設置される可能性もある為、端末105が自動で設定を適宜変更することについて何らかの対応をする必要がある。 In order to change the setting of the terminal 105, (1) the user manually sets secret information shared in advance with the second authentication server 103b, and (2) the terminal 105 previously stores the second information. The secret information shared in advance with the authentication server 103b may be held and automatically changed as appropriate. In (1), the load on the user is large. In (2), the change in the setting of the terminal 105 itself has no load on the user. However, since there is a possibility that the second access point 107b is installed by a malicious person, it is necessary to take some measures for the terminal 105 to automatically change the setting appropriately.
本発明は、前述した問題点に鑑みてなされたもので、その目的は、PSK認証における利用者の負荷を軽減する端末認証システム等を提供することである。また、本発明の副次的な目的は、アクセスポイントの認証ができる端末認証システム等を提供することである。また、本発明の副次的な目的は、端末の処理負荷を軽減する端末認証システム等を提供することである。 The present invention has been made in view of the above-described problems, and an object thereof is to provide a terminal authentication system and the like that reduce a user's load in PSK authentication. A secondary object of the present invention is to provide a terminal authentication system or the like that can authenticate an access point. A secondary object of the present invention is to provide a terminal authentication system or the like that reduces the processing load on the terminal.
前述した目的を達成するために、第1の発明は、端末と、前記端末をネットワークに接続させるアクセスポイントと、前記端末の認証を行う認証サーバと、によって少なくとも構成され、前記アクセスポイントと前記認証サーバとがネットワークに接続された端末認証システムであって、前記端末は、前記端末自身の認証を依頼する特定の認証サーバをネットワーク上で一意に識別する情報を含む認証サーバ情報を保持する手段と、前記アクセスポイントと任意の情報を送受信する手段と、を具備し、前記アクセスポイントは、前記端末および前記認証サーバのそれぞれと任意の情報を送受信する手段と、前記端末から受信した前記認証サーバ情報によって特定される認証サーバに対して、前記端末の認証を依頼するための認証依頼情報を生成する認証依頼情報生成手段と、を具備し、前記認証サーバは、前記アクセスポイントと任意の情報を送受信する手段、を具備することを特徴とする端末認証システムである。第1の発明に係る端末認証システムの使用をすることによって、PSK認証における利用者の負荷を軽減することができる。また、PSK認証を採用したことによって、端末の処理負荷を軽減することができる。 In order to achieve the above-mentioned object, the first invention comprises at least a terminal, an access point for connecting the terminal to a network, and an authentication server for authenticating the terminal, and the access point and the authentication A terminal authentication system connected to a network, wherein the terminal holds authentication server information including information for uniquely identifying a specific authentication server requesting authentication of the terminal itself on the network; Means for transmitting / receiving arbitrary information to / from the access point, wherein the access point transmits / receives arbitrary information to / from the terminal and the authentication server, and the authentication server information received from the terminal. Authentication request information for requesting authentication of the terminal to the authentication server specified by Comprising the authentication request information generating means, a to said authentication server is a terminal authentication system characterized by comprising, means for transmitting and receiving said access point and any information. By using the terminal authentication system according to the first invention, it is possible to reduce the load on the user in PSK authentication. Further, by adopting PSK authentication, it is possible to reduce the processing load on the terminal.
前記第1の発明は、前記端末が、前記端末自身の認証を依頼する特定の認証サーバと事前に共有化した共有鍵情報を保持する手段と、前記端末自身が保持する共有鍵情報を用いて認証コードを生成する認証コード生成手段と、を更に具備し、前記認証サーバが、特定の端末と事前に共有化した共有鍵情報を保持する手段と、前記認証サーバ自身が保持する共有鍵情報を用いて前記認証コードを検証する認証コード検証手段と、を更に具備することが望ましい。これによって、端末と認証サーバとの間に事前に共有した共有鍵情報は、ネットワーク上に伝送されることはなく、安全である。 In the first invention, the terminal uses shared key information held by the terminal itself, and means for holding shared key information shared in advance with a specific authentication server that requests authentication of the terminal itself. Authentication code generating means for generating an authentication code, wherein the authentication server holds shared key information shared beforehand with a specific terminal, and shared key information held by the authentication server itself. It is desirable to further comprise authentication code verification means for using and verifying the authentication code. Accordingly, the shared key information shared in advance between the terminal and the authentication server is not transmitted over the network and is secure.
また、前記第1の発明は、前記端末が、端末生成乱数として、乱数を生成する手段、を更に具備し、前記端末が具備する前記認証コード生成手段は、更に前記端末生成乱数を用いて認証コードを生成するものであることが望ましい。これによって、同じ内容の認証コードが用いられることはなく、安全である。 In the first aspect of the invention, the terminal further includes means for generating a random number as a terminal generated random number, and the authentication code generating means included in the terminal further authenticates using the terminal generated random number. It is desirable to generate code. As a result, the same authentication code is not used and it is safe.
また、前記第1の発明は、前記アクセスポイントが、アクセスポイント生成乱数として、乱数を生成する手段、を更に具備し、前記端末が具備する前記認証コード生成手段は、更に前記アクセスポイントから受信した前記アクセスポイント生成乱数を用いて認証コードを生成するものであることが望ましい。これによって、乱数の質が上がるとともに、いわゆるリプレイ攻撃(例えば、ネットワークを経由した認証などの際、第三者がその通信内容を盗聴することによって認証情報を得、接続先のサーバに同一の内容を送信することで不正にアクセスすること)などを防御することができる。 In the first aspect of the invention, the access point further includes means for generating a random number as an access point generated random number, and the authentication code generating means included in the terminal further receives from the access point. It is desirable to generate an authentication code using the access point generation random number. As a result, the quality of random numbers is improved, and so-called replay attacks (for example, in the case of authentication via a network, a third party eavesdrops on the communication content to obtain authentication information, and the same content is stored in the connection destination server. Can be protected against unauthorized access).
また、前記第1の発明は、前記認証サーバが、認証サーバ生成シークレットとして、前記認証サーバ自身が保持する共有鍵情報を用いて、前記認証サーバ自身と特定の端末との間の秘密情報であるシークレットを生成する手段、を更に具備し、前記端末が、端末生成シークレットとして、前記端末自身が保持する共有鍵情報を用いて、前記端末自身と前記端末自身の認証を依頼する特定の認証サーバとの間の秘密情報であるシークレットを生成する手段、を更に具備することが望ましい。これによって、端末の認証後は、アクセスポイントと端末との間の通信において、シークレットを共有鍵情報として利用することができる。 In the first invention, the authentication server is secret information between the authentication server itself and a specific terminal using the shared key information held by the authentication server itself as an authentication server generation secret. Means for generating a secret, and the terminal uses the shared key information held by the terminal itself as a terminal generation secret, and a specific authentication server that requests authentication of the terminal itself and the terminal itself; It is desirable to further comprise means for generating a secret that is secret information between the two. Thereby, after authentication of the terminal, the secret can be used as shared key information in communication between the access point and the terminal.
また、前記第1の発明は、前記認証サーバが具備する認証コード検証手段が、更に、前記アクセスポイントの認証を行うものであることが望ましい。これによって、端末の利用者の立場からは、アクセスポイントの認証を暗黙的に行うことができる。 In the first aspect of the invention, it is preferable that an authentication code verification means provided in the authentication server further authenticates the access point. Thereby, the authentication of the access point can be performed implicitly from the standpoint of the user of the terminal.
第2の発明は、端末と、前記端末をネットワークに接続させるアクセスポイントと、前記端末の認証を行う認証サーバと、によって少なくとも構成され、前記アクセスポイントと前記認証サーバとがネットワークに接続された端末認証システムにて用いられる端末認証方法であって、前記端末が、前記端末自身の認証を依頼する特定の認証サーバと事前に共有化した共有鍵情報であって、前記端末自身が保持するものを用いて認証コードを生成するステップと、前記端末が、前記端末自身の認証を依頼する特定の認証サーバをネットワーク上で一意に識別する情報を含む認証サーバ情報、および前記認証コードに係る情報を前記アクセスポイントに送信するステップと、前記アクセスポイントが、前記端末から受信した前記認証サーバ情報によって特定される認証サーバに対して、前記端末の認証を依頼するためのものであって、前記認証コードに係る情報を含む認証依頼情報を生成するステップと、前記アクセスポイントが、生成した前記認証依頼情報を前記端末から受信した前記認証サーバ情報によって特定される認証サーバに送信するステップと、前記認証サーバが、前記アクセスポイントから受信した前記認証依頼情報を基に、前記認証サーバ自身が保持する前記共有鍵情報を同定し、同定した前記共有鍵情報を用いて前記認証コードを検証するステップと、を含むことを特徴とする端末認証方法である。第2の発明に係る端末認証方法の使用をすることによって、PSK認証における利用者の負荷を軽減することができる。また、PSK認証を採用したことによって、端末の処理負荷を軽減することができる。また、端末と認証サーバとの間に事前に共有した共有鍵情報は、ネットワーク上に伝送されることはなく、安全である。 A second invention comprises at least a terminal, an access point for connecting the terminal to a network, and an authentication server for authenticating the terminal, wherein the access point and the authentication server are connected to the network. A terminal authentication method used in an authentication system, wherein the terminal is shared key information shared in advance with a specific authentication server that requests authentication of the terminal itself, and held by the terminal itself Generating an authentication code using the authentication server information including information for uniquely identifying a specific authentication server on the network for requesting authentication of the terminal itself, and information related to the authentication code Transmitting to the access point, and the access point includes the authentication server information received from the terminal. Generating authentication request information including information related to the authentication code, and requesting authentication of the terminal to the authentication server specified by the access point generated by the access point Transmitting the authentication request information to the authentication server specified by the authentication server information received from the terminal; and the authentication server itself holds the authentication request information based on the authentication request information received from the access point Identifying the shared key information to be verified, and verifying the authentication code using the identified shared key information. By using the terminal authentication method according to the second invention, it is possible to reduce the load on the user in PSK authentication. Further, by adopting PSK authentication, it is possible to reduce the processing load on the terminal. Also, the shared key information shared in advance between the terminal and the authentication server is not transmitted over the network and is safe.
また、前記第2の発明は、前記端末が、端末生成乱数として、乱数を生成するステップ、を更に含み、前記端末が行う認証コードを生成するステップは、更に前記端末生成乱数を用いて認証コードを生成するものであることが望ましい。これによる効果は、第1の発明の説明において前述したとおりである。 The second invention further includes a step in which the terminal generates a random number as a terminal-generated random number, and the step of generating an authentication code performed by the terminal further includes an authentication code using the terminal-generated random number. It is desirable to generate. The effect of this is as described above in the description of the first invention.
また、前記第2の発明は、前記アクセスポイントが、アクセスポイント生成乱数として、乱数を生成するステップと、前記アクセスポイントが、前記アクセスポイント生成乱数に係る情報を前記端末に送信するステップと、を更に含み、前記端末が行う認証コードを生成するステップは、更に前記アクセスポイントから受信した前記アクセスポイント生成乱数を用いて認証コードを生成するものであることが望ましい。これによる効果は、第1の発明の説明において前述したとおりである。 In the second invention, the access point generates a random number as an access point generated random number, and the access point transmits information related to the access point generated random number to the terminal. It is further preferable that the step of generating an authentication code performed by the terminal further includes generating an authentication code using the access point generation random number received from the access point. The effect of this is as described above in the description of the first invention.
また、前記第2の発明は、前記認証サーバが、認証サーバ生成シークレットとして、前記認証サーバ自身が保持する共有鍵情報を用いて、前記認証サーバ自身と特定の端末との間の秘密情報であるシークレットを生成するステップと、前記認証サーバが、前記認証サーバ生成シークレットを前記アクセスポイントに送信するステップと、前記端末が、端末生成シークレットとして、前記端末自身が保持する共有鍵情報を用いて、前記端末自身と前記端末自身の認証を依頼する特定の認証サーバとの間の秘密情報であるシークレットを生成するステップと、を更に含むことが望ましい。これによる効果は、第1の発明の説明において前述したとおりである。 Further, in the second invention, the authentication server is secret information between the authentication server itself and a specific terminal using the shared key information held by the authentication server itself as an authentication server generation secret. Generating a secret; the authentication server transmitting the authentication server-generated secret to the access point; and the terminal using the shared key information held by the terminal itself as a terminal-generated secret. Preferably, the method further includes the step of generating a secret that is secret information between the terminal itself and a specific authentication server that requests authentication of the terminal itself. The effect of this is as described above in the description of the first invention.
また、前記第2の発明は、前記認証サーバが行う認証コードを検証するステップが、更に、前記アクセスポイントの認証を行うものであることが望ましい。これによる効果は、第1の発明の説明において前述したとおりである。 In the second aspect of the invention, it is preferable that the step of verifying the authentication code performed by the authentication server further authenticates the access point. The effect of this is as described above in the description of the first invention.
本発明により、PSK認証における利用者の負荷を軽減する端末認証システム等を提供することができる。また、アクセスポイントの認証ができる端末認証システム等を提供することができる。また、端末の処理負荷を軽減する端末認証システム等を提供することができる。 According to the present invention, it is possible to provide a terminal authentication system or the like that reduces the load on the user in PSK authentication. In addition, a terminal authentication system that can authenticate an access point can be provided. Further, it is possible to provide a terminal authentication system or the like that reduces the processing load on the terminal.
以下図面に基づいて、本発明の実施形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明の実施の形態に係る端末認証システム1の概略構成を示す図である。図1に示すように、端末認証システム1は、認証サーバ3、端末5、アクセスポイント7等から構成される。図1では、一つのアクセスポイント7に対して、複数の認証サーバ3と複数の端末5が存在することを示している。但し、アクセスポイント7が一つのみということではなく、異なる場所に設置されるアクセスポイント7に対しては、同様に複数の認証サーバ3と複数の端末5が存在するということになる。 FIG. 1 is a diagram showing a schematic configuration of a terminal authentication system 1 according to an embodiment of the present invention. As shown in FIG. 1, the terminal authentication system 1 includes an authentication server 3, a terminal 5, an access point 7, and the like. FIG. 1 shows that there are a plurality of authentication servers 3 and a plurality of terminals 5 for one access point 7. However, it does not mean that there is only one access point 7, but there are similarly a plurality of authentication servers 3 and a plurality of terminals 5 for access points 7 installed in different places.
認証サーバ3およびアクセスポイント7は、ネットワーク9に接続されており、互いに、ネットワーク9を介して通信が可能である。一方、端末5は、直接ネットワーク9に接続することはできず、アクセスポイント7によって接続されることになる。アクセスポイント7が端末5をネットワーク9に接続させる際には、アクセスポイント7からの依頼を受けて、認証サーバ3が端末5の認証を行う。尚、端末5とアクセスポイント7との間の通信は、通常は、近距離無線通信などである。 The authentication server 3 and the access point 7 are connected to the network 9 and can communicate with each other via the network 9. On the other hand, the terminal 5 cannot be directly connected to the network 9 but is connected by the access point 7. When the access point 7 connects the terminal 5 to the network 9, the authentication server 3 authenticates the terminal 5 in response to a request from the access point 7. The communication between the terminal 5 and the access point 7 is usually near field communication.
次に、図2から図4を参照しながら、認証サーバ3、端末5、アクセスポイント7のハードウェア構成を説明する。 Next, the hardware configuration of the authentication server 3, the terminal 5, and the access point 7 will be described with reference to FIGS.
図2は、認証サーバ3を実現するコンピュータのハードウェア構成図である。尚、図2のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
認証サーバ3は、制御部11、記憶部13、メディア入出力部15、通信制御部17、入力部19、表示部21、周辺機器I/F部23等が、バス25を介して接続される。
FIG. 2 is a hardware configuration diagram of a computer that implements the authentication server 3. Note that the hardware configuration in FIG. 2 is an example, and various configurations can be adopted depending on the application and purpose.
The authentication server 3 includes a control unit 11, a
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等で構成される。 The control unit 11 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like.
CPUは、記憶部13、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス25を介して接続された各装置を駆動制御し、認証サーバ3が行う後述する処理を実現する。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部13、ROM、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部11が各種処理を行う為に使用するワークエリアを備える。
The CPU calls and executes a program stored in the
The ROM is a non-volatile memory and permanently holds a computer boot program, a program such as BIOS, data, and the like.
The RAM is a volatile memory, and temporarily stores a program, data, and the like loaded from the
記憶部13は、HDD(ハードディスクドライブ)であり、制御部11が実行するプログラム、プログラム実行に必要なデータ、OS(オペレーティングシステム)等が格納される。プログラムに関しては、OS(オペレーティングシステム)に相当する制御プログラムや、後述の処理に相当するアプリケーションプログラムが格納されている。
これらの各プログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
The
Each of these program codes is read by the control unit 11 as necessary, transferred to the RAM, read by the CPU, and executed as various means.
メディア入出力部15(ドライブ装置)は、データの入出力を行い、例えば、CDドライブ(−ROM、−R、−RW等)、DVDドライブ(−ROM、−R、−RW等)、MOドライブ等のメディア入出力装置を有する。 The media input / output unit 15 (drive device) performs data input / output, for example, a CD drive (-ROM, -R, -RW, etc.), DVD drive (-ROM, -R, -RW, etc.), MO drive, etc. And other media input / output devices.
通信制御部17は、通信制御装置、通信ポート等を有し、コンピュータとネットワーク9との間の通信を媒介する通信インタフェースであり、ネットワーク9を介して、他の装置との通信制御を行う。
The
入力部19は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。
入力部19を介して、コンピュータに対して、操作指示、動作指示、データ入力等を行うことができる。
The
An operation instruction, an operation instruction, data input, and the like can be performed on the computer via the
表示部21は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータのビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
The
周辺機器I/F(インタフェース)部23は、コンピュータに周辺機器を接続させるためのポートであり、周辺機器I/F部23を介してコンピュータは周辺機器とのデータの送受信を行う。周辺機器I/F部23は、USBやIEEE1394やRS−232C等で構成されており、通常複数の周辺機器I/Fを有する。周辺機器との接続形態は有線、無線を問わない。
The peripheral device I / F (interface)
バス25は、各装置間の制御信号、データ信号等の授受を媒介する経路である。 The bus 25 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
図3は、端末5のハードウェア構成図である。尚、図3のハードウェア構成は、本発明の実施の形態において必須となる構成を示しており、実際には、用途、目的に応じて様々な構成を採ることが可能である。
端末5は、制御部31、記憶部33、通信制御部35等が、バス37を介して接続される。
FIG. 3 is a hardware configuration diagram of the terminal 5. Note that the hardware configuration in FIG. 3 shows a configuration that is essential in the embodiment of the present invention. In practice, various configurations can be adopted depending on the application and purpose.
The terminal 5 is connected to a
制御部31は、CPU、ROM、RAM等で構成される。CPUは、記憶部33、ROM等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス37を介して接続された各装置を駆動制御し、端末5が行う後述する処理を実現する。ROMは、不揮発性メモリであり、各種のプログラム、データ等を恒久的に保持している。RAMは、揮発性メモリであり、記憶部33、ROM等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
The
記憶部33は、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、後述の処理に相当するアプリケーションプログラム等が格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
The
通信制御部35は、通常は、アンテナ等を有し、アクセスポイント7と近距離無線通信を行う無線通信インタフェースであり、アクセスポイント7との通信制御を行う。
The
尚、端末5がノートPCの場合、前述の構成の他に、データの入力を行う入力部やディスプレイ装置などを有する表示部等を具備する。また、端末5がセンサネットワークにおけるデバイスの場合、温度、湿度、加速度、赤外線などを感知するセンサ部等を具備する。但し、これらは、本発明の実施の形態における端末認証システム1において必須の構成ではない。 When the terminal 5 is a notebook PC, in addition to the above-described configuration, the terminal 5 includes an input unit for inputting data, a display unit having a display device, and the like. When the terminal 5 is a device in a sensor network, it includes a sensor unit that senses temperature, humidity, acceleration, infrared rays, and the like. However, these are not essential components in the terminal authentication system 1 in the embodiment of the present invention.
図4は、アクセスポイント7のハードウェア構成図である。尚、図4のハードウェア構成は、本発明の実施の形態において必須となる構成を示しており、実際には、用途、目的に応じて様々な構成を採ることが可能である。
アクセスポイント7は、制御部41、記憶部43、第1の通信制御部45、第2の通信制御部47等が、バス49を介して接続される。
FIG. 4 is a hardware configuration diagram of the access point 7. Note that the hardware configuration in FIG. 4 shows a configuration that is essential in the embodiment of the present invention. In practice, various configurations can be adopted depending on the application and purpose.
The access point 7 is connected to a
制御部41は、CPU、ROM、RAM等で構成される。CPUは、記憶部43、ROM等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス49を介して接続された各装置を駆動制御し、アクセスポイント7が行う後述する処理を実現する。ROMは、不揮発性メモリであり、各種のプログラム、データ等を恒久的に保持している。RAMは、揮発性メモリであり、記憶部43、ROM等からロードしたプログラム、データ等を一時的に保持するとともに、制御部41が各種処理を行う為に使用するワークエリアを備える。
The
記憶部43は、HDD(ハードディスクドライブ)等であり、制御部41が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、後述の処理に相当するアプリケーションプログラム等が格納されている。これらの各プログラムコードは、制御部41により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
The
第1の通信制御部45は、通信制御装置、通信ポート等を有し、アクセスポイント7とネットワーク9との間の通信を媒介する通信インタフェースであり、ネットワーク9を介して、他の装置との通信制御を行う。
The first
第2の通信制御部47は、通常は、アンテナ等を有し、端末5と近距離無線通信を行う無線通信インタフェースであり、端末5との通信制御を行う。
The second
次に、図5から図7を参照しながら、認証サーバ3、端末5、アクセスポイント7の機能を実現する構成について説明する。 Next, a configuration for realizing the functions of the authentication server 3, the terminal 5, and the access point 7 will be described with reference to FIGS.
図5は、認証サーバ3の機能の概要を示すブロック図である。図5に示すように、認証サーバ3は、制御手段51、共有鍵情報保持手段53、情報送受信手段55、認証コード検証手段57、シークレット生成手段59等を具備する。
FIG. 5 is a block diagram showing an outline of functions of the authentication server 3. As shown in FIG. 5, the authentication server 3 includes a
制御手段51は、適宜、情報送受信手段55、認証コード検証手段57、シークレット生成手段59等を呼び出し、端末認証処理における認証サーバ3の動作を制御する。
The
共有鍵情報保持手段53は、特定の端末5と事前に共有化した共有鍵情報を保持する。ここで、共有鍵情報の共有化とは、端末5の利用者などが行う認証サーバ3に対する登録作業の際、第三者に対する機密性を確保しながら、お互いに同じ共有鍵情報を取得することである。共有鍵情報自体は何ら意味を持たないものであり、第三者に対する機密性を確保しながら、共有化されることが重要である。また、認証サーバ3は、複数の端末5と事前に共有鍵情報を共有化し、各共有鍵情報の内容は異なる。従って、共有鍵情報保持手段53は、端末5ごとに複数の共有鍵情報を保持する。具体的には、共有鍵情報保持手段53は、例えば、端末5の利用者などが行う認証サーバ3に対する登録作業の際、端末5を一意に識別する番号である端末IDを付与し、端末IDをキーとして共有鍵情報を保持する。
The shared key
情報送受信手段55は、アクセスポイント7と任意の情報を送受信する。ここで、情報送受信手段55は、SSL(Secure Sockets Layer)、TLS(Transport Layer Security)などを用いた安全な通信を行うことが望ましい。尚、安全な通信を行うために用いるプロトコルは、SSLまたはTLSに限られない。現存する他のプロトコルを用いても良いし、将来規定されるプロトコルを用いても良い。
The information transmission / reception means 55 transmits / receives arbitrary information to / from the access point 7. Here, it is desirable that the information transmission /
認証コード検証手段57は、認証サーバ3自身が保持する共有鍵情報を用いて認証コードを検証する。認証コードは、認証対象である端末5が生成するものである。また、認証コード検証手段57は、更に、アクセスポイント7の認証を行うことが望ましい。 The authentication code verification means 57 verifies the authentication code using the shared key information held by the authentication server 3 itself. The authentication code is generated by the terminal 5 to be authenticated. Further, it is desirable that the authentication code verification means 57 further authenticates the access point 7.
シークレット生成手段59は、認証サーバ生成シークレットとして、認証サーバ3自身が保持する共有鍵情報を用いて、認証サーバ3自身と特定の端末5との間の秘密情報であるシークレットを生成する。生成したシークレットは、例えば、端末5の認証が成功した後、アクセスポイント7と端末5との間の通信において用いることができる。 The secret generation means 59 generates a secret that is secret information between the authentication server 3 itself and the specific terminal 5 using the shared key information held by the authentication server 3 itself as the authentication server generation secret. The generated secret can be used in communication between the access point 7 and the terminal 5, for example, after the authentication of the terminal 5 is successful.
図6は、端末5の機能の概要を示すブロック図である。図6に示すように、端末5は、制御手段61、共有鍵情報保持手段63、認証サーバ情報保持手段65、情報送受信手段67、乱数生成手段69、認証コード生成手段71、シークレット生成手段73等を具備する。
FIG. 6 is a block diagram showing an outline of functions of the terminal 5. As shown in FIG. 6, the terminal 5 includes a
制御手段61は、適宜、情報送受信手段67、乱数生成手段69、認証コード生成手段71、シークレット生成手段73等を呼び出し、端末認証処理における端末5の動作を制御する。
The
共有鍵情報保持手段63は、特定の認証サーバ3と事前に共有化した共有鍵情報を保持する。尚、共有鍵情報保持手段63は、端末5自身の端末IDも合わせて保持する。
The shared key
認証サーバ情報保持手段65は、端末5自身の認証を依頼する特定の認証サーバ3をネットワーク9上で一意に識別する情報を含む認証サーバ情報を保持する。特定の認証サーバ3をネットワーク9上で一意に識別する情報とは、例えば、URL(Uniform Resource Locator)である。また、認証サーバ情報には、認証サーバ3が端末5の認証を行うための認証アルゴリズムの特定情報、アクセスポイント7に係る認証依頼の有無情報などを含めても良い。ここで、アクセスポイント7に係る認証依頼とは、端末5が認証サーバ3にアクセスポイント7の認証を依頼することである。
The authentication server
情報送受信手段67は、アクセスポイント7と任意の情報を送受信する。情報送受信手段67は、通常は、近距離無線通信によって情報を送受信する。近距離無線通信は、無線LANに限定した場合であっても様々な方式があるが、広く普及しているものとしては、IEEE802.11がある。但し、本発明の実施の形態に係る端末認証システム1においては、これに限定するものではない。
The information transmitting / receiving
乱数生成手段69は、端末生成乱数として、乱数を生成する。端末生成乱数は、認証コード生成手段71に用いられる。 The random number generation means 69 generates a random number as a terminal generated random number. The terminal generated random number is used for the authentication code generating means 71.
認証コード生成手段71は、端末5自身が保持する共有鍵情報を用いて認証コードを生成する。また、認証コード生成手段71は、更に、端末生成乱数を用いて認証コードを生成することが望ましい。これによって、同じ内容の認証コードが用いられることはなく、安全である。また、認証コード生成手段71は、更に、アクセスポイント7が生成する乱数であるアクセスポイント生成乱数を用いて認証コードを生成することが望ましい。これによって、乱数の質が上がるとともに、いわゆるリプレイ攻撃などを防御することができる。 The authentication code generation means 71 generates an authentication code using the shared key information held by the terminal 5 itself. Further, it is desirable that the authentication code generation means 71 further generates an authentication code using a terminal-generated random number. As a result, the same authentication code is not used and it is safe. Further, it is desirable that the authentication code generation means 71 further generates an authentication code using an access point generation random number that is a random number generated by the access point 7. This improves the quality of random numbers and protects against so-called replay attacks.
シークレット生成手段73は、端末生成シークレットとして、端末5自身が保持する共有鍵情報を用いて、端末5自身と特定の認証サーバ3との間の秘密情報であるシークレットを生成する。生成したシークレットは、例えば、認証が成功した後、アクセスポイント7と端末5との間の通信において用いることができる。
The
図7は、アクセスポイント7の機能の概要を示すブロック図である。図7に示すように、アクセスポイント7は、制御手段81、情報送受信手段83、乱数生成手段85、認証依頼情報生成手段87等を具備する。
FIG. 7 is a block diagram showing an outline of functions of the access point 7. As shown in FIG. 7, the access point 7 includes a
制御手段81は、適宜、情報送受信手段83、乱数生成手段85、認証依頼情報生成手段87等を呼び出し、端末認証処理におけるアクセスポイント7の動作を制御する。
The
情報送受信手段83は、端末5および認証サーバ3のそれぞれと任意の情報を送受信する。情報送受信手段83は、認証サーバ3とは、第1の通信制御部45を介して任意の情報を送受信する。また、情報送受信手段83は、端末5とは、第2の通信制御部47を介して任意の情報を送受信する。
The information transmitting / receiving
認証サーバ3と情報を送受信する場合、情報送受信手段83は、SSL、TLSなどを用いた安全な通信を行うことが望ましい。尚、安全な通信を行うために用いるプロトコルは、SSLまたはTLSに限られない。現存する他のプロトコルを用いても良いし、将来規定されるプロトコルを用いても良い。
When transmitting / receiving information to / from the authentication server 3, it is desirable that the information transmitting / receiving
端末5と情報を送受信する場合、情報送受信手段83は、通常は、近距離無線通信によって情報を送受信する。近距離無線通信は、無線LANに限定した場合であっても様々な方式があるが、広く普及しているものとしては、IEEE802.11がある。但し、本発明の実施の形態に係る端末認証システム1においては、これに限定するものではない。
When transmitting / receiving information to / from the terminal 5, the information transmitting / receiving
乱数生成手段85は、アクセスポイント生成乱数として、乱数を生成する。アクセスポイント生成乱数は、端末5が具備する認証コード生成手段71に用いられる。 The random number generation means 85 generates a random number as an access point generation random number. The access point generation random number is used for the authentication code generation means 71 provided in the terminal 5.
認証依頼情報生成手段87は、端末5から受信した認証サーバ情報によって特定される認証サーバ3に対して、端末5の認証を依頼するための認証依頼情報を生成する。
The authentication request
次に、図8を参照しながら、端末認証システム1における端末認証処理の詳細について説明する。 Next, the details of the terminal authentication process in the terminal authentication system 1 will be described with reference to FIG.
図8は、端末認証処理の詳細を示すシーケンス図である。図8に示すように、端末認証処理においては、認証サーバ3、アクセスポイント7、端末5が、お互いにメッセージ(矢印で示す。)をやり取りしながら、自らの処理(ボックスで示す。)を行う。尚、処理に用いる具体的なデータについては、かっこ書きにて、記号で示すこととする。 FIG. 8 is a sequence diagram showing details of the terminal authentication process. As shown in FIG. 8, in the terminal authentication process, the authentication server 3, the access point 7, and the terminal 5 perform their own processes (indicated by boxes) while exchanging messages (indicated by arrows) with each other. . Note that specific data used in the processing is indicated by symbols in parentheses.
図8に示す端末認証処理の前提として、端末5は、共有鍵情報保持手段63によって、端末5自身の認証を依頼する特定の認証サーバ3と事前に共有化した共有鍵情報、および端末IDを保持する。共有鍵情報は、具体的には、認証コード生成手段71が用いる認証鍵(Kauth)、およびシークレット生成手段73が用いる鍵導出鍵(Kkdf)である。また、認証サーバ3は、端末ID(ID)をキーとして、端末5と事前に共有化した共有鍵情報を保持する。共有鍵情報は、具体的には、認証コード検証手段57が用いる認証鍵(Kauth)、およびシークレット生成手段59が用いる鍵導出鍵(Kkdf)である。
As a premise of the terminal authentication process shown in FIG. 8, the terminal 5 uses the shared key
また、図8に示す端末認証処理の前提として、端末5は、認証サーバ情報保持手段65によって、端末5自身の認証を依頼する特定の認証サーバ3をネットワーク9上で一意に識別する情報を含む認証サーバ情報を保持する。認証サーバ情報は、具体的には、認証サーバ3に係るURL(ServerURL)である。認証サーバ3に係るURL(ServerURL)には、認証サーバ3が端末5の認証を行うための認証アルゴリズムの特定情報、アクセスポイント7に対する認証依頼の有無情報などを含めても良い。
Further, as a premise of the terminal authentication process shown in FIG. 8, the terminal 5 includes information for uniquely identifying the specific authentication server 3 that requests authentication of the terminal 5 itself on the network 9 by the authentication server
図8に示すように、端末5からの接続要求を受けたアクセスポイント7の制御手段81は、乱数生成手段85によって、乱数(Ra)を生成する(S101)。乱数(Ra)は、アクセスポイント生成乱数とし、後述する端末生成乱数と区別する。乱数(Ra)は、後述する認証コードの生成に用いられる。 As shown in FIG. 8, the control means 81 of the access point 7 that has received the connection request from the terminal 5 generates a random number (Ra) by the random number generation means 85 (S101). The random number (Ra) is an access point generated random number and is distinguished from a terminal generated random number described later. The random number (Ra) is used for generating an authentication code described later.
次に、アクセスポイント7の制御手段81は、情報送受信手段83によって、乱数(Ra)を端末5に送信する(S102)。 Next, the control means 81 of the access point 7 transmits a random number (Ra) to the terminal 5 by the information transmitting / receiving means 83 (S102).
次に、端末5の制御手段61は、乱数生成手段69によって、乱数(Re)を生成する(S103)。乱数(Re)は、端末生成乱数とし、前述のアクセスポイント生成乱数と区別する。乱数(Re)は、後述する認証コードの生成に用いられる。 Next, the control means 61 of the terminal 5 generates a random number (Re) by the random number generation means 69 (S103). The random number (Re) is a terminal-generated random number and is distinguished from the aforementioned access point-generated random number. The random number (Re) is used for generating an authentication code described later.
次に、端末5の制御手段61は、認証コード生成手段71によって、認証コード(AC)を生成する(S104)。具体的には、乱数(Ra)、乱数(Re)、認証サーバ3に係るURL(ServerURL)の結合(R)に対し、認証鍵(Kauth)を用いて、次式に示すように、認証コード(AC)を生成する。
このとき、必ずしも、乱数(Ra)および乱数(Re)の両方を必須とするものではない。但し、乱数(Ra)および乱数(Re)の両方を用いれば、乱数の質が上がるとともに、いわゆるリプレイ攻撃などを防御することができる。
Next, the control means 61 of the terminal 5 generates an authentication code (AC) by the authentication code generation means 71 (S104). Specifically, the authentication key (K auth ) is used to authenticate the random number (Ra), the random number (Re), and the combination (R) of the URL (ServerURL) related to the authentication server 3 as shown in the following equation. A code (AC) is generated.
At this time, both the random number (Ra) and the random number (Re) are not necessarily required. However, if both random numbers (Ra) and random numbers (Re) are used, the quality of the random numbers can be improved and so-called replay attacks can be prevented.
次に、端末5の制御手段61は、情報送受信手段67によって、乱数(Re)、認証コード(AC)、端末ID(ID)、認証サーバ3に係るURL(ServerURL)をアクセスポイント7に送信する(S105)。
Next, the control means 61 of the terminal 5 transmits the random number (Re), the authentication code (AC), the terminal ID (ID), and the URL (ServerURL) related to the authentication server 3 to the access point 7 by the information transmitting / receiving
次に、アクセスポイント7の制御手段81は、認証依頼情報生成手段87によって、認証依頼情報を生成する(S106)。具体的には、アクセスポイント7は、受信した認証サーバ3に係るURL(ServerURL)によって、認証依頼情報の送信先を決定する。次に、アクセスポイント7は、自らが生成した乱数(Ra)、並びに、受信した乱数(Re)および認証サーバ3に係るURL(ServerURL)によって、乱数(Ra)、乱数(Re)、認証サーバ3に係るURL(ServerURL)の結合(R)を生成する。そして、アクセスポイント7は、乱数(Ra)、乱数(Re)、認証サーバ3に係るURL(ServerURL)の結合(R)、並びに受信した認証コード(AC)および端末ID(ID)を、認証依頼情報とする。 Next, the control means 81 of the access point 7 generates authentication request information by the authentication request information generation means 87 (S106). Specifically, the access point 7 determines the transmission destination of the authentication request information based on the received URL (ServerURL) related to the authentication server 3. Next, the access point 7 generates the random number (Ra), the random number (Re), the authentication server 3 based on the random number (Ra) generated by itself, the received random number (Re), and the URL (ServerURL) related to the authentication server 3. A link (R) of the URL (ServerURL) related to is generated. Then, the access point 7 receives the random number (Ra), the random number (Re), the combination (R) of the URL (ServerURL) related to the authentication server 3, and the received authentication code (AC) and terminal ID (ID) as an authentication request. Information.
次に、アクセスポイント7の制御手段81は、情報送受信手段83によって、認証依頼情報を認証サーバ3に送信する(S107)。認証依頼情報は、S106にて生成したものである。尚、アクセスポイント7と認証サーバ3との間の通信は、SSL、TLSなどを用いることが望ましい。 Next, the control means 81 of the access point 7 transmits the authentication request information to the authentication server 3 by the information transmitting / receiving means 83 (S107). The authentication request information is generated in S106. Note that it is desirable to use SSL, TLS, or the like for communication between the access point 7 and the authentication server 3.
次に、認証サーバ3の制御手段51は、必要に応じて、認証コード検証手段57によって、アクセスポイント7の認証を行う(S108)。ここで、「必要に応じて」とは、例えば、アクセスポイント7が初めて認証サーバ3と通信するような場合、または端末5からアクセスポイント7に対する認証依頼があった場合などである。アクセスポイント7の認証は、例えば、SSL、TLSなどの規約に基づいたクライアント認証手段によって行う。ここで、SSL、TLSなどの規約に基づいたクライアント認証は、公開鍵基盤認証を用いることになり、計算量は多い。しかしながら、端末5の処理能力と比して、認証サーバ3、アクセスポイント7の処理能力は高いことを想定しており、全体の処理が大きく遅延することはない。
アクセスポイント7の認証が失敗した場合、以降の処理を行わず、端末5からの接続要求も失敗となる。すなわち、認証サーバ3の制御手段51は、情報送受信手段55によって、端末5の認証が失敗した旨のメッセージをアクセスポイント7に送信する。そして、アクセスポイント7の制御手段81は、情報送受信手段83によって、端末5の認証が失敗した旨のメッセージを端末5に送信する。
Next, the control means 51 of the authentication server 3 authenticates the access point 7 by the authentication code verification means 57 as required (S108). Here, “as necessary” means, for example, when the access point 7 communicates with the authentication server 3 for the first time, or when there is an authentication request from the terminal 5 to the access point 7. Authentication of the access point 7 is performed by a client authentication unit based on a protocol such as SSL or TLS, for example. Here, client authentication based on a protocol such as SSL or TLS uses public key infrastructure authentication, and the amount of calculation is large. However, it is assumed that the processing capacity of the authentication server 3 and the access point 7 is higher than the processing capacity of the terminal 5, and the entire processing is not greatly delayed.
If the authentication of the access point 7 fails, the subsequent processing is not performed and the connection request from the terminal 5 also fails. That is, the control means 51 of the authentication server 3 transmits a message indicating that the authentication of the terminal 5 has failed to the access point 7 by the information transmitting / receiving
次に、認証サーバ3の制御手段51は、認証コード検証手段57によって、共有鍵情報を同定する(S109)。共有鍵情報の同定とは、アクセスポイント7から受信した認証依頼情報を基に、認証サーバ3自身が保持する共有鍵情報の中から、認証対象の端末5と事前に共有化した共有鍵情報を検索することである。ここで、認証サーバ3の共有鍵情報保持手段53は、端末IDをキーとして共有鍵情報を保持していることから、受信した認証依頼情報に含まれる端末ID(ID)が検索キーとなる。
Next, the control means 51 of the authentication server 3 identifies the shared key information by the authentication code verification means 57 (S109). The identification of the shared key information is based on the authentication request information received from the access point 7, and the shared key information shared beforehand with the terminal 5 to be authenticated from the shared key information held by the authentication server 3 itself. Is to search. Here, since the shared key
次に、認証サーバ3の制御手段51は、認証コード検証手段57によって、認証コード(AC)を検証する(S110)。具体的には、S104における認証コード(AC)の生成処理と同様の手順によって、認証コード(AC)を算出し、算出した認証コード(AC)と、受信した認証依頼情報に含まれる認証コード(AC)とが等しいかどうかを確認する。両者が等しい場合、認証サーバ3の制御手段51は、真正な端末5からの接続要求であると判断する。この時点で、端末5の認証は成功したことになる。
両者が等しくない場合、以降の処理を行わず、端末5からの接続要求も失敗となる。すなわち、認証サーバ3の制御手段51は、情報送受信手段55によって、端末5の認証が失敗した旨のメッセージをアクセスポイント7に送信する。そして、アクセスポイント7の制御手段81は、情報送受信手段83によって、端末5の認証が失敗した旨のメッセージを端末5に送信する。
Next, the control means 51 of the authentication server 3 verifies the authentication code (AC) by the authentication code verification means 57 (S110). Specifically, the authentication code (AC) is calculated by the same procedure as the authentication code (AC) generation process in S104, and the calculated authentication code (AC) and the authentication code (AC) included in the received authentication request information ( (AC) is equal. When both are equal, the control means 51 of the authentication server 3 determines that the connection request is from the authentic terminal 5. At this point, the authentication of the terminal 5 is successful.
If they are not equal, the subsequent processing is not performed and the connection request from the terminal 5 also fails. That is, the control means 51 of the authentication server 3 transmits a message indicating that the authentication of the terminal 5 has failed to the access point 7 by the information transmitting / receiving
次に、認証サーバ3の制御手段51は、シークレット生成手段59によって、認証サーバ生成シークレットとして、認証サーバ3自身が保持する共有鍵情報を用いて、認証サーバ3自身と特定の端末5との間の秘密情報であるシークレット(Secret)を生成する(S111)。具体的には、乱数(Ra)、乱数(Re)、認証サーバ3に係るURL(ServerURL)の結合(R)に対し、鍵導出鍵(Kkdf)を用いて、次式に示すように、シークレット(Secret)を生成する。
次に、認証サーバ3の制御手段51は、情報送受信手段55によって、認証サーバ生成シークレットであるシークレット(Secret)をアクセスポイント7に送信する(S112)。 Next, the control means 51 of the authentication server 3 transmits the secret (Secret), which is the authentication server generation secret, to the access point 7 by the information transmitting / receiving means 55 (S112).
次に、アクセスポイント7の制御手段81は、情報送受信手段83によって、端末5の認証が成功した旨のメッセージを端末5に送信する(S113)。 Next, the control means 81 of the access point 7 transmits a message indicating that the authentication of the terminal 5 is successful to the terminal 5 by the information transmitting / receiving means 83 (S113).
次に、端末5の制御手段61は、シークレット生成手段73によって、端末生成シークレットとして、端末5自身が保持する共有鍵情報を用いて、端末5自身と端末5自身の認証を依頼する特定の認証サーバ3との間の秘密情報であるシークレット(Secret)を生成する(S114)。具体的には、S111におけるシークレット(Secret)の生成処理と同様の手順によって、シークレット(Secret)を算出する。
この時点では、アクセスポイント7および端末5のそれぞれが、シークレット(Secret)を保持している。従って、これ以降、アクセスポイント7と端末5との間の通信においては、シークレット(Secret)を共有鍵情報として利用することができる。
Next, the control means 61 of the terminal 5 uses the secret generation means 73 as a terminal generation secret to use the shared key information held by the terminal 5 itself to perform specific authentication requesting authentication of the terminal 5 itself and the terminal 5 itself. A secret that is secret information with the server 3 is generated (S114). Specifically, the secret (Secret) is calculated by the same procedure as the secret generation process in S111.
At this time, each of the access point 7 and the terminal 5 holds a secret (Secret). Accordingly, in the communication between the access point 7 and the terminal 5 thereafter, the secret (Secret) can be used as shared key information.
図8で示した端末認証処理においては、端末5と認証サーバ3との間に事前に共有した共有鍵情報は、ネットワーク9上に伝送されることはなく、安全である。また、端末5は、計算量の多い処理を行わないことから、端末5の処理能力が低い場合であっても、全体の処理に影響を与えることはない。特に、リソース、許容電力消費量、デバイス間の通信回数などに制限があるセンサネットワークに用いられるデバイスなどを端末5とする場合は、図8で示した端末認証処理を採用することが有効である。 In the terminal authentication process shown in FIG. 8, the shared key information shared in advance between the terminal 5 and the authentication server 3 is not transmitted over the network 9 and is safe. In addition, since the terminal 5 does not perform processing with a large amount of calculation, even if the processing capability of the terminal 5 is low, the entire processing is not affected. In particular, when the terminal 5 is a device used in a sensor network in which resources, allowable power consumption, the number of communication between devices, and the like are limited, it is effective to employ the terminal authentication process shown in FIG. .
次に、図9を参照しながら、本発明の実施の形態に係る実施例について説明する。
図9は、本発明の実施の形態におけるPSK認証の一例を示す図である。図9に示す例では、端末5と認証サーバ3が事前に共有鍵情報を共有しているものとする。
Next, an example according to the embodiment of the present invention will be described with reference to FIG.
FIG. 9 is a diagram showing an example of PSK authentication in the embodiment of the present invention. In the example shown in FIG. 9, it is assumed that the terminal 5 and the authentication server 3 share the shared key information in advance.
最初に、端末5は、認証サーバ3との間に事前に共有した共有鍵情報を用いて、認証データを作成する。次に、端末5は、第1の無線LAN10aに係る第1のアクセスポイント7aに認証データを送信する。次に、第1のアクセスポイント7aは、受信した認証データによって指定された認証サーバ3に対して、認証データを送信する。次に、認証サーバ3は、受信した認証データを検証する。そして、認証が成功した場合、端末5はネットワーク9に接続される。
次に、端末5が移動した場合であっても、端末5は、認証サーバ3との間に事前に共有した共有鍵情報を用いて、認証データを作成すれば良い。そして、前述と同様の手順により、第2の無線LAN10bに係る第2のアクセスポイント7bを介して、認証サーバ3から認証を受ける。そして、認証が成功した場合、端末5はネットワーク9に接続される。このように、本発明の実施の形態では、端末5の設定の変更は不要である。従って、端末5の移動が頻繁に発生する場合であっても、利用者に負荷がかかることはない。
First, the terminal 5 creates authentication data using the shared key information shared in advance with the authentication server 3. Next, the terminal 5 transmits authentication data to the first access point 7a related to the first wireless LAN 10a. Next, the first access point 7a transmits authentication data to the authentication server 3 designated by the received authentication data. Next, the authentication server 3 verifies the received authentication data. If the authentication is successful, the terminal 5 is connected to the network 9.
Next, even if the terminal 5 moves, the terminal 5 may create authentication data using the shared key information shared in advance with the authentication server 3. Then, authentication is performed from the authentication server 3 through the second access point 7b related to the second wireless LAN 10b by the same procedure as described above. If the authentication is successful, the terminal 5 is connected to the network 9. Thus, in the embodiment of the present invention, it is not necessary to change the setting of the terminal 5. Therefore, even if the terminal 5 moves frequently, the user is not burdened.
また、認証サーバ3が受信した認証データを検証する際、アクセスポイント7a(7b)の認証を行うようにすれば、悪意のある者が設置したアクセスポイント7a(7b)に接続要求を送信した場合であっても、端末5の利用者が盗聴などの被害に遭うことを防ぐことができる。また、本発明の実施の形態によれば、アクセスポイント7a(7b)の認証を行う場合、端末5の利用者が何らかの設定作業をする必要がないので、利用者に負荷がかかることはない。 When the authentication data received by the authentication server 3 is verified, if the access point 7a (7b) is authenticated, a connection request is transmitted to the access point 7a (7b) installed by a malicious person Even so, it is possible to prevent the user of the terminal 5 from suffering damage such as eavesdropping. In addition, according to the embodiment of the present invention, when the access point 7a (7b) is authenticated, the user of the terminal 5 does not need to perform any setting work, so that the user is not burdened.
以上説明したように、本発明の実施の形態に係る端末認証システム1では、PSK認証における利用者の負荷を軽減することができる。また、アクセスポイント7の認証を暗黙的に行うことができる。また、端末5の処理負荷を軽減することができる。 As described above, the terminal authentication system 1 according to the embodiment of the present invention can reduce the load on the user in PSK authentication. Further, the authentication of the access point 7 can be performed implicitly. In addition, the processing load on the terminal 5 can be reduced.
以上、添付図面を参照しながら、本発明に係る端末認証システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 The preferred embodiments of the terminal authentication system and the like according to the present invention have been described above with reference to the accompanying drawings, but the present invention is not limited to such examples. It will be apparent to those skilled in the art that various changes or modifications can be conceived within the scope of the technical idea disclosed in the present application, and these naturally belong to the technical scope of the present invention. Understood.
1………端末認証システム
3………認証サーバ
5………端末
7………アクセスポイント
7a………第1のアクセスポイント
7b………第2のアクセスポイント
9………ネットワーク
10a………第1の無線LAN
10b………第2の無線LAN
11………制御部
13………記憶部
15………メディア入出力部
17………通信制御部
19………入力部
21………表示部
23………周辺機器I/F部
25………バス
31………制御部
33………記憶部
35………通信制御部
37………バス
41………制御部
43………記憶部
45………第1の通信制御部
47………第2の通信制御部
49………バス
51………制御手段
53………共有鍵情報保持手段
55………情報送受信手段
57………認証コード検証手段
59………シークレット生成手段
61………制御手段
63………共有鍵情報保持手段
65………認証サーバ情報保持手段
67………情報送受信手段
69………乱数生成手段
71………認証コード生成手段
73………シークレット生成手段
81………制御手段
83………情報送受信手段
85………乱数生成手段
87………認証依頼情報生成手段
103a………第1の認証サーバ
103b………第2の認証サーバ
105………端末
107a………第1のアクセスポイント
107b………第2のアクセスポイント
110a………第1の無線LAN
110b………第2の無線LAN
1 ... Terminal authentication system 3 ... Authentication server 5 ... Terminal 7 ... Access point 7a ... First access point 7b ... Second access point 9 ... Network 10a ... ... First wireless LAN
10b ......... Second wireless LAN
11 .........
110b ......... Second wireless LAN
Claims (11)
前記端末は、
前記端末自身の認証を依頼する特定の認証サーバをネットワーク上で一意に識別する情報を含む認証サーバ情報を保持する手段と、
前記アクセスポイントと任意の情報を送受信する手段と、
を具備し、
前記アクセスポイントは、
前記端末および前記認証サーバのそれぞれと任意の情報を送受信する手段と、
前記端末から受信した前記認証サーバ情報によって特定される認証サーバに対して、前記端末の認証を依頼するための認証依頼情報を生成する認証依頼情報生成手段と、
を具備し、
前記認証サーバは、
前記アクセスポイントと任意の情報を送受信する手段、
を具備することを特徴とする端末認証システム。 A terminal authentication system comprising at least a terminal, an access point for connecting the terminal to a network, and an authentication server for authenticating the terminal, wherein the access point and the authentication server are connected to the network;
The terminal
Means for holding authentication server information including information for uniquely identifying a specific authentication server that requests authentication of the terminal itself on the network;
Means for transmitting and receiving arbitrary information to and from the access point;
Comprising
The access point is
Means for transmitting and receiving arbitrary information to and from each of the terminal and the authentication server;
Authentication request information generating means for generating authentication request information for requesting authentication of the terminal to the authentication server specified by the authentication server information received from the terminal;
Comprising
The authentication server is
Means for transmitting and receiving arbitrary information to and from the access point;
A terminal authentication system comprising:
前記認証サーバが、特定の端末と事前に共有化した共有鍵情報を保持する手段と、前記認証サーバ自身が保持する共有鍵情報を用いて前記認証コードを検証する認証コード検証手段と、を更に具備することを特徴とする請求項1に記載の端末認証システム。 Means for holding the shared key information shared in advance by the terminal with a specific authentication server requesting authentication of the terminal itself, and an authentication code for generating an authentication code using the shared key information held by the terminal itself Generating means,
The authentication server further includes means for holding shared key information shared in advance with a specific terminal, and authentication code verification means for verifying the authentication code using the shared key information held by the authentication server itself. The terminal authentication system according to claim 1, further comprising:
前記端末が具備する前記認証コード生成手段は、更に前記端末生成乱数を用いて認証コードを生成するものであることを特徴とする請求項2に記載の端末認証システム。 The terminal further comprises means for generating a random number as a terminal-generated random number;
The terminal authentication system according to claim 2, wherein the authentication code generating means included in the terminal further generates an authentication code using the terminal-generated random number.
前記端末が具備する前記認証コード生成手段は、更に前記アクセスポイントから受信した前記アクセスポイント生成乱数を用いて認証コードを生成するものであることを特徴とする請求項3に記載の端末認証システム。 The access point further comprises means for generating a random number as an access point generated random number,
4. The terminal authentication system according to claim 3, wherein the authentication code generating means included in the terminal further generates an authentication code using the access point generated random number received from the access point.
前記端末が、端末生成シークレットとして、前記端末自身が保持する共有鍵情報を用いて、前記端末自身と前記端末自身の認証を依頼する特定の認証サーバとの間の秘密情報であるシークレットを生成する手段、を更に具備することを特徴とする請求項2から請求項4のいずれかに記載の端末認証システム。 The authentication server further includes means for generating a secret that is secret information between the authentication server itself and a specific terminal using the shared key information held by the authentication server itself as an authentication server generation secret. And
The terminal uses the shared key information held by the terminal itself as a terminal generation secret to generate a secret that is secret information between the terminal itself and a specific authentication server that requests authentication of the terminal itself. The terminal authentication system according to claim 2, further comprising: means.
前記端末が、前記端末自身の認証を依頼する特定の認証サーバと事前に共有化した共有鍵情報であって、前記端末自身が保持するものを用いて認証コードを生成するステップと、
前記端末が、前記端末自身の認証を依頼する特定の認証サーバをネットワーク上で一意に識別する情報を含む認証サーバ情報、および前記認証コードに係る情報を前記アクセスポイントに送信するステップと、
前記アクセスポイントが、前記端末から受信した前記認証サーバ情報によって特定される認証サーバに対して、前記端末の認証を依頼するためのものであって、前記認証コードに係る情報を含む認証依頼情報を生成するステップと、
前記アクセスポイントが、生成した前記認証依頼情報を前記端末から受信した前記認証サーバ情報によって特定される認証サーバに送信するステップと、
前記認証サーバが、前記アクセスポイントから受信した前記認証依頼情報を基に、前記認証サーバ自身が保持する前記共有鍵情報を同定し、同定した前記共有鍵情報を用いて前記認証コードを検証するステップと、
を含むことを特徴とする端末認証方法。 A terminal, an access point for connecting the terminal to the network, and an authentication server for authenticating the terminal are used in a terminal authentication system in which the access point and the authentication server are connected to the network. A terminal authentication method,
A step of generating an authentication code using a shared key information that is shared in advance with a specific authentication server that requests authentication of the terminal itself, the terminal itself holding;
The terminal transmitting authentication server information including information for uniquely identifying a specific authentication server requesting authentication of the terminal itself on a network, and information related to the authentication code to the access point;
The access point is for requesting authentication of the terminal to an authentication server specified by the authentication server information received from the terminal, and authentication request information including information related to the authentication code. Generating step;
The access point transmitting the generated authentication request information to the authentication server specified by the authentication server information received from the terminal;
The authentication server identifies the shared key information held by the authentication server itself based on the authentication request information received from the access point, and verifies the authentication code using the identified shared key information When,
The terminal authentication method characterized by including.
を更に含み、
前記端末が行う認証コードを生成するステップは、更に前記端末生成乱数を用いて認証コードを生成するものであることを特徴とする請求項7に記載の端末認証方法。 The terminal generates a random number as a terminal-generated random number;
Further including
8. The terminal authentication method according to claim 7, wherein the step of generating an authentication code performed by the terminal further generates an authentication code using the terminal-generated random number.
前記アクセスポイントが、前記アクセスポイント生成乱数に係る情報を前記端末に送信するステップと、
を更に含み、
前記端末が行う認証コードを生成するステップは、更に前記アクセスポイントから受信した前記アクセスポイント生成乱数を用いて認証コードを生成するものであることを特徴とする請求項8に記載の端末認証方法。 The access point generates a random number as an access point generation random number;
The access point transmitting information related to the access point generated random number to the terminal;
Further including
9. The terminal authentication method according to claim 8, wherein the step of generating an authentication code performed by the terminal further generates an authentication code using the access point generation random number received from the access point.
前記認証サーバが、前記認証サーバ生成シークレットを前記アクセスポイントに送信するステップと、
前記端末が、端末生成シークレットとして、前記端末自身が保持する共有鍵情報を用いて、前記端末自身と前記端末自身の認証を依頼する特定の認証サーバとの間の秘密情報であるシークレットを生成するステップと、
を更に含むことを特徴とする請求項7から請求項9のいずれかに記載の端末認証方法。 The authentication server generates a secret, which is secret information between the authentication server itself and a specific terminal, using the shared key information held by the authentication server itself as an authentication server generation secret;
The authentication server sending the authentication server generated secret to the access point;
The terminal uses the shared key information held by the terminal itself as a terminal generation secret to generate a secret that is secret information between the terminal itself and a specific authentication server that requests authentication of the terminal itself. Steps,
The terminal authentication method according to claim 7, further comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007277242A JP2009104509A (en) | 2007-10-25 | 2007-10-25 | Terminal authentication system and terminal authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007277242A JP2009104509A (en) | 2007-10-25 | 2007-10-25 | Terminal authentication system and terminal authentication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009104509A true JP2009104509A (en) | 2009-05-14 |
Family
ID=40706099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007277242A Pending JP2009104509A (en) | 2007-10-25 | 2007-10-25 | Terminal authentication system and terminal authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009104509A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011138193A (en) * | 2009-12-25 | 2011-07-14 | Sony Corp | Information processing apparatus, data exchanging method and information processing system |
JP2015506153A (en) * | 2011-12-27 | 2015-02-26 | インテル コーポレイション | Method and system for distributed off-line logon using one-time password |
JP2016192704A (en) * | 2015-03-31 | 2016-11-10 | 株式会社日立製作所 | Information collection system, connection control method in information collection system |
-
2007
- 2007-10-25 JP JP2007277242A patent/JP2009104509A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011138193A (en) * | 2009-12-25 | 2011-07-14 | Sony Corp | Information processing apparatus, data exchanging method and information processing system |
JP2015506153A (en) * | 2011-12-27 | 2015-02-26 | インテル コーポレイション | Method and system for distributed off-line logon using one-time password |
JP2016192704A (en) * | 2015-03-31 | 2016-11-10 | 株式会社日立製作所 | Information collection system, connection control method in information collection system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
RU2297037C2 (en) | Method for controlling protected communication line in dynamic networks | |
JP4746333B2 (en) | Efficient and secure authentication of computing systems | |
US8732461B2 (en) | Client apparatus, server apparatus, and program using entity authentication and biometric authentication | |
JP5688087B2 (en) | Method and apparatus for reliable authentication and logon | |
US11736304B2 (en) | Secure authentication of remote equipment | |
US20100250951A1 (en) | Common key setting method, relay apparatus, and program | |
JP2002344438A (en) | Key sharing system, key sharing device and program thereof | |
EP4096147A1 (en) | Secure enclave implementation of proxied cryptographic keys | |
KR20150053912A (en) | Method and devices for registering a client to a server | |
KR100668446B1 (en) | Safe --method for transferring digital certificate | |
JP4550759B2 (en) | Communication system and communication apparatus | |
CN110855561A (en) | Intelligent gateway of Internet of things | |
KR100957044B1 (en) | Method and system for providing mutual authentication using kerberos | |
KR101572598B1 (en) | Secure User Authentication Scheme against Credential Replay Attack | |
US20220231841A1 (en) | Method, first device, first server, second server and system for accessing a private key | |
EP3624394B1 (en) | Establishing a protected communication channel through a ttp | |
JP2009104509A (en) | Terminal authentication system and terminal authentication method | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
JP2017139026A (en) | Method and apparatus for reliable authentication and logon | |
CN113727059A (en) | Multimedia conference terminal network access authentication method, device, equipment and storage medium | |
JP2015111440A (en) | Method and apparatus for trusted authentication and log-on | |
KR20130046781A (en) | System and method for access authentication for wireless network | |
CN115314278B (en) | Trusted network connection identity authentication method, electronic equipment and storage medium | |
JP2021179690A (en) | Communication system, repeater, communication method, and program |